مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Trojans NccTrojan

NccTrojan

تا Mezo در Trojans, Advanced Persistent Threat (APT), Backdoors
ترجمه به:
فارسی

تهدید nccTrojan در مجموعه‌ای از حملات مورد استفاده قرار گرفته است که گمان می‌رود توسط یک گروه APT (تهدید پایدار پیشرفته) تحت حمایت چین موسوم به TA428 انجام شود. مجرمان سایبری شرکت های مرتبط با نظامی و موسسات عمومی واقع در چندین کشور اروپای شرقی و افغانستان را هدف قرار می دهند. به نظر می‌رسد هدف کمپین‌های تهدیدآمیز جمع‌آوری داده‌ها و جاسوسی سایبری باشد، به طوری که عاملان تهدید شش تهدید مختلف بدافزار را بر روی دستگاه‌های نقض شده حذف می‌کنند.

دسترسی اولیه به دستگاه ها از طریق کمپین های فیشینگ نیزه ای بسیار هدفمند حاصل می شود. هکرهای TA428 ایمیل های فریبنده سفارشی می سازند تا علیه سازمان های خاص مورد استفاده قرار گیرند. برخی از ایمیل‌های فیشینگ حتی حاوی اطلاعات محرمانه یا خصوصی بودند که در دسترس عموم نیستند. هنگامی که قربانیان اسناد Word مسلح شده را که به ایمیل‌های فریبنده متصل شده‌اند را اجرا می‌کنند، یک کد خراب را راه‌اندازی می‌کند که از آسیب‌پذیری CVE-2017-11882 سوء استفاده می‌کند. جزئیات حملات و زرادخانه مضر هکرها در گزارشی از محققان امنیتی منتشر شد.

تجزیه و تحلیل nccTrojan

بدافزار nccTrojan قبلاً به TA428 نسبت داده شده است. در واقع، به نظر می رسد که این تهدید به طور فعال توسط مهاجمان توسعه یافته است. نصب تهدید بر روی دستگاه نقض شده با دانلود چندین فایل از سرور Command-and-Control (C2, C&C) آغاز می شود. فایل اجرایی در قالب یک فایل cab. با نام دلخواه تحویل داده می شود. ابزار توسعه سیستم برای باز کردن بسته بندی فایل تحویل شده در یک فهرست موجود متعلق به یک محصول نرم افزاری قانونی مورد نیاز است. علاوه بر این، هکرها یک مؤلفه نصب کننده ویژه را که وظیفه ثبت DLL nccTrojan را به عنوان یک سرویس دارد، حذف می کنند. انجام این کار تضمین می کند که تهدید به طور خودکار در هر راه اندازی سیستم بارگیری می شود.

پس از فعال شدن، ماژول اصلی nccTrojan سعی می کند با لیستی از آدرس های C2 کدگذاری شده ارتباط برقرار کند. تمام ارتباطات بعدی به سروری که ابتدا پاسخ می دهد منتقل می شود. در طول تماس اولیه، تهدید همچنین اطلاعات کلی مختلفی را درباره سیستم نقض شده ارسال می کند، مانند نام رایانه، آدرس IP، نام کاربری، نسخه بدافزار، داده های محلی سازی سیستم و موارد دیگر. nccTrojan همچنین قابلیت های درب پشتی، توانایی اجرای دستورات، راه اندازی فایل های اجرایی، کشتن فرآیندهای انتخابی، دستکاری سیستم فایل، واکشی بارهای اضافی از C2 و موارد دیگر را در اختیار مهاجمان قرار می دهد.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,356
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...